BEC の本質としては以前からある「詐欺」となんら変わりません。ただ、電子メールが使われる、というだけで、コンピュータウイルスなどを使うわけでもありません。
例えば通常の郵便を使ったケースでも詐欺としてありもしない税金の還付を連絡してくるとか、身に覚えのないサイトの利用料金に関する支払いを求めてくるといったものがありますが、これらが「電子メールで」くるというだけが違いになります。
通常の郵便を使ったケースでもそうですし、例えば対面でも消火器を売りつけるといった詐欺まがいの手口でもそうですが、自分がいかにも「それっぽい」所属の人間である、あるいはそういう組織を代表している、というところがまずは出発点になります。
例えば消火器販売だと「◯◯消防署の『方から』きました」と名乗ったりします。決して「消防署から」ではないところがミソです。
また皆さんよくご存知の「オレオレ詐欺」も「家族」を偽って電話をかけてきますよね。
つまり、まずは誰かを偽る、というところが詐欺のスタート地点になるわけです。
では実際に BEC は誰を偽ってメールを送りつけてくるのでしょう?
よくあるパターンとしては以下のようなパターンがあります。
1. 取引先を偽り、偽の送金依頼や偽の取引口座変更をメールで連絡する
2. 経営陣を偽り、偽の入金指示連絡する
取引先を偽るケースは、何らかの手段で皆さんの会社のビジネスに関する情報を入手し、それに則っていかにもありそうな差出人名で偽の内容をメールし、例えば取引口座を変更させるとか入金させるといったパターンです。
「うちがどことどんな取引をしているかなんて外部に漏れるはずがない!」なんてお考えの方も多いと思います。しかしながら、マルウェア等により流出した情報が使われるケースもありえます。さらには情報は必ずしも皆さんの会社から漏れるとは限りません。取引先から漏れる場合もあるでしょう。取引先のメールアカウントが乗っ取られてしまい、過去のやり取りのメールをすべて閲覧され、そこからニセのメール文面を作られ、乗っ取られた人の「正規の」アカウントからニセのメールを送りつけられたようなケースも実際にあります。
経営陣を偽るケースも同様に考えられます。この場合は何らかの形で情報が外に流出して...というケースを考えそうですが、経営陣が誰か、どんな役職か、メールアドレスがなにか、といった情報はマルウェア等によるものじゃなくても意外と外に出ているものです。また例えば誰がお金を扱う仕事をしているか、といったこともマルウェア等を使わなくてもある程度調査可能です。
例えば皆さんは新入社員研修などで「みだりに社外からの電話で社員の存在を明かしたり電話番号を教えたりしてはいけない」と教わった経験はないでしょうか?
これらを緒として勧誘の電話がかかってきたりとかするからだ、と教えられたかもしれませんが、同じようにこれらを緒として情報を組み立て、より深い情報を引き出したり探し出すことに持ち込める要素があるからです。
このようなやり方をソーシャルエンジニアリングといいます。前述の電話のパターンは古くからあるソーシャルエンジニアリングの一つと言えます。
ソーシャルエンジニアリングについては総務省も注意喚起のコンテンツを作っていますのでそちらもご覧ください。(http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/12.html)
